logo Homepage
+  NewbieContest
|-+  News» News Informatique/Hardware/Tuning» I #WannaCry
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: I #WannaCry  (Lu 9340 fois)
pixis
Administrateur

Profil challenge

Classement : 16/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 664


Voir le profil WWW
« le: 15 Mai 2017 à 21:27:53 »

Bonjour à tous,

J'imagine que ce n'est pas une nouvelle pour la majorité d'entre vous, cependant je trouvais important d'en parler ici. Ce sera un tout petit message avec les trèèès grandes lignes, mais les liens fournis permettent d'aller se renseigner plus en profondeur.

Ce week-end, un malwre comme-les-autres-mais-pas-tout-a-fait a fait des ravages dans le monde de l'informatique. Le ransomware-ver WanaCrypt a infecté plusieurs dizaines de milliers de postes partout dans le monde.

Kézako ?

Tout le monde en parle, et pas seulement la communauté tech. On peut par exemple citer Le Monde, Le Parisien, ou encore Ouest France. Cette attaque d'envergure mondiale a touché officiellement plus de 150 pays, beaucoup d'entreprises et de particuliers. C'est un malware qui va chiffrer les données des postes en contrepartie d'un paiement, et son moyen de propagation rend l'infection d'autant plus agressive.

Qu'a-t-elle de particulier ?

Contrairement aux campagnes classiques de phishing embarquant de "simples" ransomwares, cette fois-ci le malware avait une particularité qui l'a rendu plus agressif : Il utilisait une faille dans le protocole SMB (Partage de fichiers à distance dans un environnement Windows) permettant d'exécuter des commandes sur une machine à distance (CVE 2017-0144). Ainsi, lorsque le malware est exécuté sur une machine, il va d'abord scanner le sous réseau sur lequel la machine se trouve afin de trouver des cibles vulnérables et s'installer dessus, ainsi que des IP publiques. Il va également chiffrer les données de la machine sur laquelle il se trouve avec un système de clés publiques/clés privées. Enfin, il va également installer une backdoor sur le poste appelée "Double Pulsar" qui utilise également SMB.

Impact

Cette faille sur SMB a été publiée publiquement en avril suite à un leak des outils de la NSA par la team Sadow Brokers. Microsoft a publié un patch permettant de s'en prémunir rapidement, mais l'impact est fort puisque évidemment, pas toutes les machines étaient à jour, notamment chez les entreprises pour qui c'est difficile d'avoir un parc complet de machines up-to-date. A ce jour, plus de 150 pays sont touchés, plusieurs dizaines de milliers de machines sont chiffrées et non récupérables, une hécatombe.

Se protéger

Pour cela, rien de bien compliqué : Ne pas être sous Windows (/troll), le cas échéant, appliquer les patchs de sécurité proposés par Windows, ne pas cliquer sur les PJ aveuglément, et envoyer 10 euros à Pixis. Si jamais c'est trop tard pour vous, toutes mes condoléances. Cependant, gardez une copie de votre disque, sait-on jamais, peut-être qu'une solution sera trouvée pour déchiffrer ou décrypter le bouzin.

Quelques liens parce que ce que je raconte, c'est back to basics, et j'ai pas parlé du kill-switch mais j'ai la flemme. Et puis j'ai p'tet dis des bêtises aussi.

Journalisée

Newbie Contest Staff :
Pixis
Statut :
Administrateur
Blog :
hackndo
LoopString

Profil challenge

Classement : 38/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 29


Voir le profil
« #1 le: 16 Mai 2017 à 19:00:15 »

Merci pixis,
Cela m'a incité à trouver et à appliquer le patch KB4012598.
Un processus simple même pour moi, un utilisateur Windows 
Journalisée
S0410N3
Administrateur

Profil challenge

Classement : 10/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1260


Voir le profil WWW
« #2 le: 16 Mai 2017 à 21:41:34 »

J'ai passé mon week-end à patcher.
Je n'ai pas d'astreintes.
Journalisée

Enjoy (copyleft de quelqu'un qui a trop parlé)

S0410N3

-------------------------------------------------------------------------------------
La folie est le prix à payer pour le temps passé à être trop lucide.
-------------------------------------------------------------------------------------
http://forum.hardware.fr/hfr/Discussions/Societe/francais-repere-repaire-sujet_19265_1.htm
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #3 le: 18 Mai 2017 à 07:53:04 »

Cela dit, suffit de désactiver SMBv1 à priori. Chose qui aurait dû être faite dans le monde entier depuis des années :p

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
S0410N3
Administrateur

Profil challenge

Classement : 10/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1260


Voir le profil WWW
« #4 le: 18 Mai 2017 à 09:53:42 »

Sauf que sur un 2003 par exemple ça ne me paraît pas trop possible.
Sinon oui effectivement.
Journalisée

Enjoy (copyleft de quelqu'un qui a trop parlé)

S0410N3

-------------------------------------------------------------------------------------
La folie est le prix à payer pour le temps passé à être trop lucide.
-------------------------------------------------------------------------------------
http://forum.hardware.fr/hfr/Discussions/Societe/francais-repere-repaire-sujet_19265_1.htm
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #5 le: 18 Mai 2017 à 13:23:23 »

Je connais la problématique, mais bon, ça fait une bonne raison de dire au big boss "Hey chef, si on prenait le 2003 là, tu sais, celui qui traîne depuis des années, un marteau, et qu'on leur faisait faire un gros câlin ?"


Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
S0410N3
Administrateur

Profil challenge

Classement : 10/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1260


Voir le profil WWW
« #6 le: 18 Mai 2017 à 13:28:32 »

Bah c'est surtout lié à de vieilles applis métier non portées sur les nouvelles versions de Windows généralement.
Sinon oui j'aimerais bien faire ça, enfin avec un marteau virtuel ;p
Journalisée

Enjoy (copyleft de quelqu'un qui a trop parlé)

S0410N3

-------------------------------------------------------------------------------------
La folie est le prix à payer pour le temps passé à être trop lucide.
-------------------------------------------------------------------------------------
http://forum.hardware.fr/hfr/Discussions/Societe/francais-repere-repaire-sujet_19265_1.htm
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #7 le: 18 Mai 2017 à 14:37:30 »

Ah bon, t'as pas envie de péter tout l'hyperviseur ? t'es pas joueur ^^

J'imagine oui, que c'est une histoire de compatibilité. De toute façon, c'est toujours une histoire de compatibilité. Et c'est le problème des applis métiers, les éditeurs s'en cognent. Du coup, moi, j'ai envie de les cogner aussi. Mais pas avec un marteau virtuel pour le coup

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
pixis
Administrateur

Profil challenge

Classement : 16/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 664


Voir le profil WWW
« #8 le: 31 Mai 2017 à 08:50:02 »

Un retex assez intéressant pour ceux que ça intéresse

https://blog.kryptoslogic.com/malware/2017/05/29/two-weeks-later.html
Journalisée

Newbie Contest Staff :
Pixis
Statut :
Administrateur
Blog :
hackndo
Pages: [1]
  Imprimer  
 
Aller à: